網(wǎng)絡(luò)安全領(lǐng)域近日曝出一則新威脅，黑客組織正在采用一種前所未有的釣魚攻擊手段，利用瀏覽器內(nèi)置的Blob URI功能實施高度隱蔽的攻擊。這一手法不僅成功繞過了傳統(tǒng)的加密憑證保護(hù)機(jī)制，還因其罕見性，使得大部分AI安全防護(hù)程序難以察覺。

據(jù)網(wǎng)絡(luò)安全公司Cofense的最新研究報告，黑客首先通過釣魚郵件誘導(dǎo)用戶點(diǎn)擊看似來自可信域名的鏈接，如微軟的OneDrive。這些郵件能夠順利通過安全網(wǎng)關(guān)的檢測，從而增加了攻擊的成功率。一旦用戶點(diǎn)擊鏈接，他們會被重定向到一個中間網(wǎng)站，該網(wǎng)站看似無害，實則加載了攻擊者控制的HTML文件。

關(guān)鍵在于，這些HTML文件并不包含任何惡意代碼特征，因此能夠躲避傳統(tǒng)安全系統(tǒng)的檢測。然而，當(dāng)這些文件在受害者的瀏覽器中解碼后，會生成一個Blob URI。Blob URI，即二進(jìn)制大對象統(tǒng)一資源標(biāo)識符，是瀏覽器用來生成臨時本地內(nèi)容的協(xié)議，包括圖片、音頻和PDF等二進(jìn)制數(shù)據(jù)。通過Blob URI，攻擊者能夠在受害者的瀏覽器內(nèi)存中直接生成一個與微軟登錄界面完全一致的釣魚頁面，無需托管在公網(wǎng)服務(wù)器上。

一旦用戶在這個偽裝的登錄頁面上輸入賬號密碼，這些信息就會通過加密通道被傳輸?shù)焦粽叩姆?wù)器上，整個過程沒有任何異常跳轉(zhuǎn)提示，用戶往往難以察覺。由于釣魚頁面完全在受害者瀏覽器內(nèi)存中生成，并在會話結(jié)束后自動銷毀，因此無法留存追溯證據(jù)，傳統(tǒng)的郵件網(wǎng)關(guān)和端點(diǎn)防護(hù)系統(tǒng)也無法掃描內(nèi)存中渲染的內(nèi)容。

Cofense情報團(tuán)隊負(fù)責(zé)人Jacob Malimban指出：“這種攻擊方式極大地增加了檢測和分析的難度。由于釣魚頁面通過Blob URI本地生成，常規(guī)的在線掃描機(jī)制已經(jīng)完全失效?！泵鎸@一新威脅，企業(yè)用戶需要采取更加嚴(yán)密的防護(hù)措施。建議部署防火墻即服務(wù)（FWaaS）實現(xiàn)登錄行為的實時監(jiān)控，采用零信任網(wǎng)絡(luò)訪問（ZTNA）限制敏感系統(tǒng)的訪問權(quán)限，并強(qiáng)制啟用多因素認(rèn)證（MFA）作為關(guān)鍵系統(tǒng)訪問的前置條件。

企業(yè)還應(yīng)定期開展針對Blob URI攻擊場景的滲透測試，以評估和提升自身的安全防護(hù)能力。面對不斷演變的網(wǎng)絡(luò)威脅，保持警惕和持續(xù)更新安全防護(hù)策略至關(guān)重要。